思科网络 DDO攻击 检测与防护设计与部署.doc

思科网络 DDOS攻击 检测与防护设计与部署2007年9月17日—2007年9月21日(本活动已经结束) 讨论业界DDOS防护主流产品 Guard 与 Detector 的部署与设计原理，以及下一步DDOS 防护趋势思科专家：刘在恒，武涛，徐志骏，赵述志，金戈，郭庆问题编号：3748 问题主题：请简单把思科DDOS解决方案的特点介绍一下？ 提问内容： 演示： /cdc_content_elements/flash/ddos/dps_flash/index.swf 回答者：郭庆 回答内容： 特点： 1. DDOS 防护性能 30G+ ； 2. 旁路按需清洗设计； 3. 全动态策略启动取消设计； 4. 自动抓报取证生成特征库; 5. XML输出自服务Portal设计； 6. TACAS+,SNMP MIB, SYSlog 全网管集成； 7. Detector 7层蠕虫检测与自学习同步策略； 8. 城域网，骨干网，IDC 国际DDOS防护标准设计！ DDOS主要攻击对象！-Guard定制的模版-〉四层交换机，防火墙，IPS -〉游戏网吧 -〉网银证券 -〉DNS，AAA学习Guard = 掌握DDOS规律，了解应用特征 问题编号：3749 问题主题：Guard对类似CC攻击的这种应用层DDOS怎么防范? 提问内容： RT 回答者：郭庆 回答内容： 两种方式:1. Guard 的Zombie 模版！ 2. Guard 的Flex Filter功能，不仅可以防止CC，还可以防止SIP协议攻击，脚本攻击。。。 问题编号：3751 问题主题：回注方式 提问内容： 对于回注的方式,比较多,能不能具体讲一讲 回答者：刘在恒回答内容： 由于流量吸引导致DDOS攻击流量通过Guard清洗，其回注方式多种多样，其最根本的需求，就是避免清洗后的回注流量重新进入Guard，造成路由循环。简单来说有以下几种回注方式： 1、通过回注拓扑变化，回注链路与吸入链路分离。绕过路由表项指向Guard的路由器。如在城域网或IDC中直接回注给下级路由器。 2、通过PBR回注。通过源地址路由，直接把流量送给下级路由器， 避免查询路由表。 3、通过MPLS VPN回注。将回注流量直接注入VRF，通过MPLS VPN将流量直接引入用户接入的PE设备。 4、通过GRE回注。将回注流量引入GRE隧道，直接注入用户设备。 具体的流量回注方式，需要根据网络拓扑的实际情况来设计，方案本身没有优劣之说，关键是思路清晰，易于维护。这体现了设计人员对自身网络的理解。如有进一步的问题。欢迎给我发邮件。Zaliu@CISCO.COM 问题编号：3752 问题主题：在CISCO2821路由器上可以防DDOS攻击么？ 提问内容： 在CISCO2821路由器上可以防DDOS攻击么？如果可以，怎么防？ 回答者：刘在恒 回答内容： Cisco的ISR系列路由器提供了内置的IOS防火墙，通过对防火墙的配置，或对某些特征流量的过滤和限速，可以提供一定程度的安全防护与防DDOS攻击的能力。 但由于目前网络上的DDOS攻击往往规模很大，对于几百兆甚至几千兆的DDOS攻击，就需要专门的防DDOS设备，如Guard来专门处理了。 问题编号：3753 问题主题：Guard 的Zombie 模版是什么概念，有什么作用？ 提问内容： Guard 的Zombie 模版是什么概念，有什么作用？ 回答者：刘在恒 回答内容： Zombie模版是Guard专门用来防御Zombie类DDOS攻击的模版。 Zombie攻击的特点是用真的IP地址与Server端建立TCP连接，多个攻击client端建立的多个连接与真正开展业务的TCP连接非常接近，最终导致Server端的资源耗尽。 问题编号：3754 问题主题：Cisco 产品 提问内容： Cisco主要推向市场的防御ddos产品是什么？有无产品资料？ 回答者：刘在恒 回答内容： Cisco主要推向市场的防DDOS产品是Cisco Guard与Detector。这是两个运营商级的专业DDOS防御工具。其产品资料请到思科网站下列链接查询。 /web/CN/products/products_netsol/security/products/check/ 问题编号：3755 问题主题：Cisco Guard是如何实现区分正常和非正常流量的？提问内容： 请详细解答 回答者：赵述志 回答内容： 思科DDOS防护有两种学习模式, 通过第一阶段的学习, 我们可以让DDOS防护设备了解用户被保护网段中的主要业务类型, 通过第二阶段的学习 我们可以让DDOS防护设备了解相关业务类型的流量阀值,这样子就可以全面的了解用户的业务模型, 从而进行更加严紧并且结